NT Kernel & Systems вирус майнер заражен 2-ой ноутбук

@ben3in · Регистрация: 10.10.2020

Author24 — интернет-сервис помощи студентам

Добрый день!
Второй мой ноутбук заразился одним и тем же вирусом. Все симптомы совпадают.
NT Kernel & Systems вирус майнер грузит процессор. При открытии "Диспетчер задач" вирус отключается и нагрузка с процессора спадает. Процессор греется с 52 до 82 градусов. Блокируются сайты с софтом, антивирусами, глюки при удалении папок, якобы нет прав. Не устанавливаются антивирусы avira, касперский. Лог во вложении.

@Sandor · 12.10.2020, 08:22

Здравствуйте!

Внимание! Рекомендации написаны специально для пользователя ben3in. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Код

{Перед использованием скрипта убедиться, что в системе не установлены упомянутые в скрипте антивирусы. Автор скрипта: regist}
var
ProgramData, ProgramFiles, ProgramFiles86, fname, OSVer: string;
PD_folders, PF_folders, O_folders : TStringList;

procedure FillList;
begin
 PD_folders := TStringList.Create;
 PD_folders.Add('360safe');
 PD_folders.Add('AVAST Software');
 PD_folders.Add('Avira');
 PD_folders.Add('Doctor Web');
 PD_folders.Add('ESET');
 PD_folders.Add('Indus');
 PD_folders.Add('Kaspersky Lab Setup Files');
 PD_folders.Add('Kaspersky Lab');
 PD_folders.Add('MB3Install');
 PD_folders.Add('Malwarebytes');
 PD_folders.Add('McAfee');
 PD_folders.Add('Norton');
 PD_folders.Add('grizzly');
 PD_folders.Add('RealtekHD');
 PD_folders.Add('RunDLL');
 PD_folders.Add('Setup');
 PD_folders.Add('System32');
 PD_folders.Add('Windows');
 PD_folders.Add('WindowsTask');
 PD_folders.Add('install');
 PF_folders := TStringList.Create;
 PF_folders.Add('360');
 PF_folders.Add('AVAST Software');
 PF_folders.Add('AVG');
 PF_folders.Add('ByteFence');
 PF_folders.Add('COMODO');
 PF_folders.Add('Cezurity');
 PF_folders.Add('Common Files\McAfee');
 PF_folders.Add('Enigma Software Group');
 PF_folders.Add('GRIZZLY Antivirus');
 PF_folders.Add('Kaspersky Lab');
 PF_folders.Add('Malwarebytes');
 PF_folders.Add('Microsoft JDX');
 PF_folders.Add('Panda Security');
 PF_folders.Add('SpyHunter');
 O_folders := TStringList.Create;
 O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\AdwCleaner'));
 O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\KVRT_Data'));
 O_folders.Add(NormalDir('%windir%'+'\speechstracing'));
 O_folders.Add(NormalDir('%windir%'+'\Fonts\Mysql'));
end;

procedure Del_folders(path:string; AFL : TStringList);
var
i : integer;
begin
 for i := 0 to AFL.Count - 1 do
 begin
  fname := NormalDir(path + AFL[i]);
  if DirectoryExists(fname) then
	  begin
		  QuarantineFileF(fname, '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
		  DeleteFileMask(fname, '*', true);
		  DeleteDirectory(fname);
	  end;
 end;
end;

procedure swprv;
begin
 ExecuteFile('sc.exe', 'create "swprv" binpath= "%SystemRoot%\System32\svchost.exe -k swprv" type= own start= demand depend= RPCSS', 0, 15000, true);
 RegKeyParamDel ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'wow64');
 RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'Description', '@%SystemRoot%\System32\swprv.dll,-102');
 RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'DisplayName', '@%SystemRoot%\System32\swprv.dll,-103');
 RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'ServiceSidType', '1');
 RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%Systemroot%\System32\swprv.dll');
 OSVer := RegKeyStrParamRead('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion','CurrentVersion');
 if OSVer > '6.1' then RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDllUnloadOnStop', '1');;
 ExecuteFile('sc.exe', 'privs "swprv" SeBackupPrivilege/SeChangeNotifyPrivilege/SeCreateGlobalPrivilege/SeCreatePermanentPrivilege/SeImpersonatePrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeIncreaseBasePriorityPrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeTcbPrivilege', 0, 15000, true);
 ExecuteFile('net.exe', 'start "swprv"', 0, 15000, true);
end;

procedure  AV_block_remove;
begin
 clearlog;
 FillList;
 ProgramData := GetEnvironmentVariable('ProgramData');
 ProgramFiles := NormalDir('%PF%');
 ProgramFiles86 := NormalDir('%PF% (x86)');
 Del_folders(ProgramData +'\', PD_folders);
 Del_folders(ProgramFiles, PF_folders);
 Del_folders(ProgramFiles86, PF_folders);
 Del_folders('', O_folders);
 ExpRegKey('HKCU','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun','DisallowRun_backup.reg');
 RegKeyDel('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun');
 RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\services\TermService\Parameters', 'ServiceDlll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\termsrv.dll');
 swprv;
 if MessageDLG('Удалить пользователя "John" ?'+ #13#10 + 'Если пользователь с таким именем вам не знаком, то нажмите "Да".', mtConfirmation, mbYes+mbNo, 0) = 6 then
	ExecuteFile('net.exe', 'user john /delete', 0, 15000, true);
 SaveLog(GetAVZDirectory +'AV_block_remove.log');
 PD_folders.Free;
 PF_folders.Free;
 O_folders.Free;
 ExecuteWizard('SCU', 2, 3, true);
 ExecuteSysClean;
end;

begin
 AV_block_remove;
ExecuteSysClean;
 ExecuteRepair(13);
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код

begin
 DeleteFile(GetAVZDirectory+'quarantine.7z');
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.
К сообщению прикреплять файл quarantine.7z не нужно!
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.

@ben3in · 12.10.2020, 16:33 **[ТС]**

Вот.

@Sandor · 12.10.2020, 16:38

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

Отключите до перезагрузки антивирус.

Выделите следующий код:

Код

Start::
SystemRestore: On
CreateRestorePoint:
HKLM\...\Run: [Realtek HD Audio] => C:\ProgramData\RealtekHD\taskhostw.exe <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKU\S-1-5-18\...\Policies\Explorer: [DisallowRun] 1
HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [1] eav_trial_rus.exe
HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [2] avast_free_antivirus_setup_online.exe
HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [3] eis_trial_rus.exe
HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [4] essf_trial_rus.exe
HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [5] hitmanpro_x64.exe
HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [6] ESETOnlineScanner_UKR.exe
HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [7] ESETOnlineScanner_RUS.exe
HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [8] HitmanPro.exe
HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [9] 360TS_Setup_Mini.exe
HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [10] Cezurity_Scanner_Pro_Free.exe
HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [11] Cube.exe
2020-10-09 14:58 - 2020-10-09 14:58 - 000000000 __SHD C:\ProgramData\Avg
2020-10-09 14:58 - 2020-10-09 14:58 - 000000000 __SHD C:\ProgramData\360TotalSecurity
2020-10-09 14:57 - 2020-10-09 14:57 - 000000000 __SHD C:\Windows\NetworkDistribution
2020-10-09 14:57 - 2020-10-09 14:57 - 000000000 __SHD C:\rdp
2020-10-09 14:57 - 2020-10-09 14:57 - 000000000 __SHD C:\ProgramData\Driver Foundation Visions VHG
2020-10-09 14:57 - 2020-10-09 14:57 - 000000000 __SHD C:\Program Files\RDP Wrapper
2020-10-09 14:57 - 2020-10-09 14:57 - 000000000 __SHD C:\Program Files\ESET
2020-10-09 14:57 - 2020-10-09 14:57 - 000000000 __SHD C:\Program Files (x86)\Zaxar
2020-10-09 14:57 - 2020-10-09 14:57 - 000000000 ___SH C:\Windows\SysWOW64\Drivers\conhost.exe
2020-10-09 14:57 - 2020-10-09 14:57 - 000000000 ___SH C:\Windows\svchost.exe
2020-10-09 14:57 - 2020-10-09 14:57 - 000000000 ___SH C:\Windows\java.exe
2020-10-09 14:57 - 2020-10-09 14:57 - 000000000 ___SH C:\Windows\boy.exe
2020-10-09 14:57 - 2020-10-09 14:57 - 000000000 ___SH C:\ProgramData\script.exe
2020-10-09 14:57 - 2020-10-09 14:57 - 000000000 ___SH C:\ProgramData\olly.exe
2020-10-09 14:57 - 2020-10-09 14:57 - 000000000 ___SH C:\ProgramData\lsass2.exe
2020-10-09 14:57 - 2020-10-09 14:57 - 000000000 ___SH C:\ProgramData\lsass.exe
2020-10-09 14:57 - 2020-10-09 14:57 - 000000000 ___SH C:\ProgramData\kz.exe
2020-10-09 14:56 - 2020-10-09 14:56 - 000000000 __SHD C:\Windows\SysWOW64\%APPDATA%
FirewallRules: [{061C6E49-E7E7-44B6-B631-61E61E968A1E}] => (Allow) C:\Users\Vera\AppData\Local\Temp\DriverPack-20200528235547\tools\aria2c.exe => No File
FirewallRules: [{E5B71048-8868-4BA4-80D8-CB39A3D1585C}] => (Allow) C:\Users\Vera\AppData\Roaming\DRPSu\Alice\cloud.exe => No File
FirewallRules: [{AC376E90-174D-4DD2-A2ED-0D5DAE174F97}] => (Allow) LPort=9393
FirewallRules: [{DB201122-6AFB-482A-A082-6602DB25E37A}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => No File
FirewallRules: [{F3391D3E-01AF-4AD4-9276-FDA4B850AEE5}] => (Allow) C:\ProgramData\rundll\rundll.exe => No File
FirewallRules: [{843227ED-9FC1-477F-8B95-86C2CF8E2FA8}] => (Allow) C:\ProgramData\rundll\system.exe => No File
FirewallRules: [{0C88CA49-1822-4211-BBCC-522195C5171A}] => (Allow) C:\ProgramData\rundll\Eternalblue-2.2.0.exe => No File
FirewallRules: [{781E9091-05A9-4A3F-983A-0EE64637A602}] => (Allow) C:\ProgramData\rundll\Doublepulsar-1.3.1.exe => No File
FirewallRules: [{4253EE5E-9E39-4748-A89A-0986D5452283}] => (Allow) C:\ProgramData\WindowsTask\MicrosoftHost.exe => No File
FirewallRules: [{EC3D2EC2-05B5-412D-8D5E-F20DA1EA18FF}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => No File
FirewallRules: [{AFEA04DA-C4F6-4CBF-9CBA-B4A6A12905F3}] => (Allow) C:\ProgramData\WindowsTask\MicrosoftHost.exe => No File
FirewallRules: [{D7ACC86D-FB88-4692-BED9-738E210A2E06}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => No File
FirewallRules: [{536A6BF4-841F-451E-A51D-4889ADFA5F16}] => (Allow) C:\ProgramData\RealtekHD\taskhostw.exe => No File
FirewallRules: [{58F7804B-0F3A-4E3A-B546-582E8196F301}] => (Allow) LPort=9393
FirewallRules: [{5A5DD480-9A3B-4CAC-86BC-6E2FDA4AA850}] => (Allow) LPort=9494
FirewallRules: [{274DBFF4-8CE5-4ABA-902F-302C945FA28B}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => No File
FirewallRules: [{37B96F0A-B597-4DF8-91B2-EBC931B709E5}] => (Allow) LPort=3389
FirewallRules: [{AACA38B5-1A42-47F2-BE26-53E2F3B8D88B}] => (Allow) C:\ProgramData\windows\rutserv.exe => No File
FirewallRules: [{F51BD9BA-C909-4626-A563-71AB09B8ECA2}] => (Allow) LPort=9494
FirewallRules: [{7BE748BE-5519-4D4E-8DCA-AFD0640CA513}] => (Allow) LPort=3389
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

@Sandor · 12.10.2020, 16:39

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

Отключите до перезагрузки антивирус.

Выделите следующий код:

Код

Start::
SystemRestore: On
CreateRestorePoint:
HKLM\...\Run: [Realtek HD Audio] => C:\ProgramData\RealtekHD\taskhostw.exe <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKU\S-1-5-18\...\Policies\Explorer: [DisallowRun] 1
HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [1] eav_trial_rus.exe
HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [2] avast_free_antivirus_setup_online.exe
HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [3] eis_trial_rus.exe
HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [4] essf_trial_rus.exe
HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [5] hitmanpro_x64.exe
HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [6] ESETOnlineScanner_UKR.exe
HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [7] ESETOnlineScanner_RUS.exe
HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [8] HitmanPro.exe
HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [9] 360TS_Setup_Mini.exe
HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [10] Cezurity_Scanner_Pro_Free.exe
HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [11] Cube.exe
2020-10-09 14:58 - 2020-10-09 14:58 - 000000000 __SHD C:\ProgramData\Avg
2020-10-09 14:58 - 2020-10-09 14:58 - 000000000 __SHD C:\ProgramData\360TotalSecurity
2020-10-09 14:57 - 2020-10-09 14:57 - 000000000 __SHD C:\Windows\NetworkDistribution
2020-10-09 14:57 - 2020-10-09 14:57 - 000000000 __SHD C:\rdp
2020-10-09 14:57 - 2020-10-09 14:57 - 000000000 __SHD C:\ProgramData\Driver Foundation Visions VHG
2020-10-09 14:57 - 2020-10-09 14:57 - 000000000 __SHD C:\Program Files\RDP Wrapper
2020-10-09 14:57 - 2020-10-09 14:57 - 000000000 __SHD C:\Program Files\ESET
2020-10-09 14:57 - 2020-10-09 14:57 - 000000000 __SHD C:\Program Files (x86)\Zaxar
2020-10-09 14:57 - 2020-10-09 14:57 - 000000000 ___SH C:\Windows\SysWOW64\Drivers\conhost.exe
2020-10-09 14:57 - 2020-10-09 14:57 - 000000000 ___SH C:\Windows\svchost.exe
2020-10-09 14:57 - 2020-10-09 14:57 - 000000000 ___SH C:\Windows\java.exe
2020-10-09 14:57 - 2020-10-09 14:57 - 000000000 ___SH C:\Windows\boy.exe
2020-10-09 14:57 - 2020-10-09 14:57 - 000000000 ___SH C:\ProgramData\script.exe
2020-10-09 14:57 - 2020-10-09 14:57 - 000000000 ___SH C:\ProgramData\olly.exe
2020-10-09 14:57 - 2020-10-09 14:57 - 000000000 ___SH C:\ProgramData\lsass2.exe
2020-10-09 14:57 - 2020-10-09 14:57 - 000000000 ___SH C:\ProgramData\lsass.exe
2020-10-09 14:57 - 2020-10-09 14:57 - 000000000 ___SH C:\ProgramData\kz.exe
2020-10-09 14:56 - 2020-10-09 14:56 - 000000000 __SHD C:\Windows\SysWOW64\%APPDATA%
FirewallRules: [{061C6E49-E7E7-44B6-B631-61E61E968A1E}] => (Allow) C:\Users\Vera\AppData\Local\Temp\DriverPack-20200528235547\tools\aria2c.exe => No File
FirewallRules: [{E5B71048-8868-4BA4-80D8-CB39A3D1585C}] => (Allow) C:\Users\Vera\AppData\Roaming\DRPSu\Alice\cloud.exe => No File
FirewallRules: [{AC376E90-174D-4DD2-A2ED-0D5DAE174F97}] => (Allow) LPort=9393
FirewallRules: [{DB201122-6AFB-482A-A082-6602DB25E37A}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => No File
FirewallRules: [{F3391D3E-01AF-4AD4-9276-FDA4B850AEE5}] => (Allow) C:\ProgramData\rundll\rundll.exe => No File
FirewallRules: [{843227ED-9FC1-477F-8B95-86C2CF8E2FA8}] => (Allow) C:\ProgramData\rundll\system.exe => No File
FirewallRules: [{0C88CA49-1822-4211-BBCC-522195C5171A}] => (Allow) C:\ProgramData\rundll\Eternalblue-2.2.0.exe => No File
FirewallRules: [{781E9091-05A9-4A3F-983A-0EE64637A602}] => (Allow) C:\ProgramData\rundll\Doublepulsar-1.3.1.exe => No File
FirewallRules: [{4253EE5E-9E39-4748-A89A-0986D5452283}] => (Allow) C:\ProgramData\WindowsTask\MicrosoftHost.exe => No File
FirewallRules: [{EC3D2EC2-05B5-412D-8D5E-F20DA1EA18FF}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => No File
FirewallRules: [{AFEA04DA-C4F6-4CBF-9CBA-B4A6A12905F3}] => (Allow) C:\ProgramData\WindowsTask\MicrosoftHost.exe => No File
FirewallRules: [{D7ACC86D-FB88-4692-BED9-738E210A2E06}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => No File
FirewallRules: [{536A6BF4-841F-451E-A51D-4889ADFA5F16}] => (Allow) C:\ProgramData\RealtekHD\taskhostw.exe => No File
FirewallRules: [{58F7804B-0F3A-4E3A-B546-582E8196F301}] => (Allow) LPort=9393
FirewallRules: [{5A5DD480-9A3B-4CAC-86BC-6E2FDA4AA850}] => (Allow) LPort=9494
FirewallRules: [{274DBFF4-8CE5-4ABA-902F-302C945FA28B}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => No File
FirewallRules: [{37B96F0A-B597-4DF8-91B2-EBC931B709E5}] => (Allow) LPort=3389
FirewallRules: [{AACA38B5-1A42-47F2-BE26-53E2F3B8D88B}] => (Allow) C:\ProgramData\windows\rutserv.exe => No File
FirewallRules: [{F51BD9BA-C909-4626-A563-71AB09B8ECA2}] => (Allow) LPort=9494
FirewallRules: [{7BE748BE-5519-4D4E-8DCA-AFD0640CA513}] => (Allow) LPort=3389
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

@ben3in · 12.10.2020, 17:04 **[ТС]**

Готово.

@Sandor · 12.10.2020, 20:28

Проблема решена?

@ben3in · 12.10.2020, 22:56 **[ТС]**

Остались в процессах только хвосты вируса. Процесс "System" с описанием "NT Kernel & System" и процесс audiodg.exe тоже от вируса вроде этого. А симптомов они никаких не дают.

@Sandor · 13.10.2020, 08:39

Это нормальные системные процессы, под которые вредонос маскировался.

В завершение:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

@ben3in · 14.10.2020, 00:34 **[ТС]**

Вот.

@Sandor · 14.10.2020, 08:35

------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз
Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления
^Используйте Средство устранения неполадок при проблемах установки^
Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
------------------------------- [ HotFix ] --------------------------------
HotFix KB3177467 Внимание! Скачать обновления
HotFix KB3125574 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4499175 Внимание! Скачать обновления
HotFix KB4490628 Внимание! Скачать обновления
HotFix KB4539602 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft .NET Framework 4.7.2 v.4.7.03062 Внимание! Скачать обновления
NVIDIA GeForce Experience 3.13.1.30 v.3.13.1.30 Внимание! Скачать обновления
K-Lite Codec Pack 15.4.8 Full v.15.4.8 Внимание! Скачать обновления
TeamViewer v.15.6.7 Внимание! Скачать обновления
-------------------------------- [ Arch ] ---------------------------------
WinRAR 5.90 (64-разрядная) v.5.90.0 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.45672 Внимание! Клиент сети P2P с рекламным модулем!.
------------------------------- [ Browser ] -------------------------------
Google Chrome v.85.0.4183.121 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Google Chrome!^

Читайте Рекомендации после удаления вредоносного ПО

@Sandor 21981 / 15761 / 3046 Регистрация: 08.10.2012 Сообщений: 64,067
	12.10.2020, 20:28	7
	Проблема решена? 0

@ben3in 0 / 0 / 0 Регистрация: 10.10.2020 Сообщений: 13
	12.10.2020, 22:56 [ТС]	8
	Остались в процессах только хвосты вируса. Процесс "System" с описанием "NT Kernel & System" и процесс audiodg.exe тоже от вируса вроде этого. А симптомов они никаких не дают. Миниатюры 0

@Sandor 21981 / 15761 / 3046 Регистрация: 08.10.2012 Сообщений: 64,067
	13.10.2020, 08:39	9
	Это нормальные системные процессы, под которые вредонос маскировался. В завершение: 1. Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Компьютер перезагрузится. Остальные утилиты лечения и папки можно просто удалить. 2. Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. 0

@Sandor 21981 / 15761 / 3046 Регистрация: 08.10.2012 Сообщений: 64,067
	14.10.2020, 08:35	11
	------------------------------- [ Windows ] ------------------------------- Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления ^Используйте Средство устранения неполадок при проблемах установки^ Контроль учётных записей пользователя отключен (Уровень 1) ^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^ ------------------------------- [ HotFix ] -------------------------------- HotFix KB3177467 Внимание! Скачать обновления HotFix KB3125574 Внимание! Скачать обновления HotFix KB4012212 Внимание! Скачать обновления HotFix KB4499175 Внимание! Скачать обновления HotFix KB4490628 Внимание! Скачать обновления HotFix KB4539602 Внимание! Скачать обновления --------------------------- [ OtherUtilities ] ---------------------------- Microsoft .NET Framework 4.7.2 v.4.7.03062 Внимание! Скачать обновления NVIDIA GeForce Experience 3.13.1.30 v.3.13.1.30 Внимание! Скачать обновления K-Lite Codec Pack 15.4.8 Full v.15.4.8 Внимание! Скачать обновления TeamViewer v.15.6.7 Внимание! Скачать обновления -------------------------------- [ Arch ] --------------------------------- WinRAR 5.90 (64-разрядная) v.5.90.0 Внимание! Скачать обновления --------------------------------- [ P2P ] --------------------------------- µTorrent v.3.5.5.45672 Внимание! Клиент сети P2P с рекламным модулем!. ------------------------------- [ Browser ] ------------------------------- Google Chrome v.85.0.4183.121 Внимание! Скачать обновления ^Проверьте обновления через меню Справка - О Google Chrome!^ Читайте Рекомендации после удаления вредоносного ПО 0